如果需要在网络边界之外启用来自 Azure 服务的流量,可以添加 网络安全异常。 当 Azure 服务从无法包含在您的虚拟网络或 IP 网络规则中的网络运行时,这一点十分有用。 例如,某些服务可能需要读取帐户中的资源日志和指标。 可以通过创建网络规则例外来允许对日志文件、指标表或两者进行读取访问。 这些服务使用强身份验证连接到存储帐户。
若要了解如何添加网络安全异常,请参阅 管理网络安全异常。
在 Microsoft Entra 租户中注册的资源的受信任访问
某些服务中的资源可以访问所选作的存储帐户,例如写入日志或运行备份。 这些服务必须在与存储帐户位于同一 Microsoft Entra 租户的订阅中注册。 下表描述了每个服务及其允许的操作。
| Service | 资源提供者名称 | Allowed operations |
|---|---|---|
| Azure 备份 | Microsoft.RecoveryServices |
在基础结构即服务 (IaaS) 虚拟机中运行非托管磁盘的备份和还原(不需要对托管磁盘这样做)。 Learn more. |
| Azure Data Box | Microsoft.DataBox |
将数据导入 Azure。 Learn more. |
| Azure 数据资源管理器 | Microsoft.Kusto |
读取用于引入和外部表的数据,并将数据写入外部表。 Learn more. |
| Azure 事件网格 | Microsoft.EventGrid |
启用 Azure Blob 存储事件发布并允许发布到存储队列。 |
| Azure 事件中心 | Microsoft.EventHub |
使用事件中心捕获来存档数据。 Learn More. |
| Azure 文件同步 | Microsoft.StorageSync |
将本地文件服务器转换为 Azure 文件共享的缓存。 此功能允许多站点同步、快速灾难恢复和云备份。 Learn more. |
| Azure HDInsight | Microsoft.HDInsight |
为新的 HDInsight 群集预配默认文件系统的初始内容。 Learn more. |
| Azure Import/Export | Microsoft.ImportExport |
将数据导入 Azure 存储或从 Azure 存储导出数据。 Learn more. |
| Azure Monitor | Microsoft.Insights |
将监视数据写入安全存储帐户,包括资源日志、Microsoft Defender for Endpoint 数据、Microsoft Entra 登录和审核日志,以及 Microsoft Intune 日志。 Learn more. |
| Azure 网络服务 | Microsoft.Network |
存储和分析网络流量日志,包括通过 Azure 网络观察程序和 Azure 流量管理器服务。 Learn more. |
| Azure Site Recovery | Microsoft.SiteRecovery |
使用启用了防火墙的缓存、源或目标存储帐户时,请启用复制,以实现 Azure IaaS 虚拟机的灾难恢复。 Learn more. |
基于托管标识的受信任访问权限
下表列出了可访问你的存储帐户数据的服务(如果这些服务的资源实例有相应的权限)。
| Service | 资源提供者名称 | Purpose |
|---|---|---|
| Azure API 管理 | Microsoft.ApiManagement/service |
允许通过策略访问防火墙后面的存储帐户。 Learn more. |
| Microsoft 自治系统 | Microsoft.AutonomousSystems/workspaces |
支持访问存储帐户。 |
| Azure Cache for Redis | Microsoft.Cache/Redis |
支持访问存储帐户。 Learn more. |
| Azure AI 搜索 | Microsoft.Search/searchServices |
允许访问存储帐户,以进行索引编制、处理和查询。 |
| Azure AI 服务 | Microsoft.CognitiveService/accounts |
支持访问存储帐户。 Learn more. |
| Microsoft 成本管理 | Microsoft.CostManagementExports |
支持导出到受防火墙保护的存储帐户。 Learn more. |
| Azure Databricks | Microsoft.Databricks/accessConnectors |
支持访问存储帐户。 无服务器 SQL 仓库需要额外的配置。 Learn more. |
| Azure 数据工厂 | Microsoft.DataFactory/factories |
允许通过数据工厂运行时访问存储帐户。 |
| Azure 数据资源管理器 | Microsoft.Kusto/Clusters |
读取用于引入和外部表的数据,并将数据写入外部表。 Learn more. |
| Azure 备份保管库 | Microsoft.DataProtection/BackupVaults |
支持访问存储帐户。 |
| Azure Database for PostgreSQL | Microsoft.DBForPostgreSQL |
支持访问存储帐户。 |
| Azure IoT 中心 | Microsoft.Devices/IotHubs |
允许将 IoT 中心的数据写入 Blob 存储。 Learn more. |
| Azure 事件网格 | Microsoft.EventGrid/domains |
支持访问存储帐户。 |
| Azure 事件网格 | Microsoft.EventGrid/partnerTopics |
支持访问存储帐户。 |
| Azure 事件网格 | Microsoft.EventGrid/systemTopics |
支持访问存储帐户。 |
| Azure 事件网格 | Microsoft.EventGrid/topics |
支持访问存储帐户。 |
| Azure Logic Apps | Microsoft.Logic/integrationAccounts |
使逻辑应用能够访问存储帐户。 Learn more. |
| Azure Logic Apps | Microsoft.Logic/workflows |
使逻辑应用能够访问存储帐户。 Learn more. |
| Azure 机器学习工作室 | Microsoft.MachineLearning/registries |
支持经过授权的 Azure 机器学习工作区将试验输出、模型和日志写入 Blob 存储并读取数据。 Learn more. |
| Azure 机器学习 | Microsoft.MachineLearningServices |
支持经过授权的 Azure 机器学习工作区将试验输出、模型和日志写入 Blob 存储并读取数据。 Learn more. |
| Azure 机器学习 | Microsoft.MachineLearningServices/workspaces |
支持经过授权的 Azure 机器学习工作区将试验输出、模型和日志写入 Blob 存储并读取数据。 Learn more. |
| Azure 媒体服务 | Microsoft.Media/mediaservices |
支持访问存储帐户。 |
| Azure Migrate | Microsoft.Migrate/migrateprojects |
支持访问存储帐户。 |
| Azure ExpressRoute | Microsoft.Network/expressRoutePorts |
支持访问存储帐户。 |
| Microsoft Power Platform | Microsoft.PowerPlatform/enterprisePolicies |
支持访问存储帐户。 |
| Microsoft Purview | Microsoft.Purview/accounts |
支持访问存储帐户。 |
| Azure Site Recovery | Microsoft.RecoveryServices/vaults |
支持访问存储帐户。 |
| Azure SQL 数据库 | Microsoft.Sql |
允许 将审核数据写入防火墙后面的存储帐户。 |
| Azure SQL 服务器 | Microsoft.Sql/servers |
允许 将审核数据写入防火墙后面的存储帐户。 |
| Azure Synapse Analytics | Microsoft.Sql |
允许将 COPY 语句、PolyBase(在专用池中)或 openrowset 函数与无服务器池中的外部表结合使用来将数据导入和导出特定 SQL 数据库。
Learn more. |
| Azure 流分析 | Microsoft.StreamAnalytics |
用于将流式处理作业中的数据写入 Blob 存储。 Learn more. |
| Azure 流分析 | Microsoft.StreamAnalytics/streamingjobs |
用于将流式处理作业中的数据写入 Blob 存储。 Learn more. |
| Azure Synapse Analytics | Microsoft.Synapse/workspaces |
允许访问 Azure 存储中的数据。 |
如果帐户未启用分层命名空间功能,可以通过向每个资源实例的 托管标识 显式分配 Azure 角色来授予权限。 在这种情况下,实例的访问范围与分配给托管身份的 Azure 角色相对应。
可以对启用了分层命名空间功能的帐户使用相同的技术。 但是,如果将托管标识添加到存储帐户包含的任何目录或 Blob 的访问控制列表 (ACL),则不必分配 Azure 角色。 在这种情况下,实例的访问范围对应于托管标识有权访问的目录或文件。
还可以将 Azure 角色和 ACL 组合在一起来授予访问权限。 若要详细了解,请参阅 Azure Data Lake Storage 中的访问控制模型。